Vad ska man tänka på avseende GDPR vid upphandling?
Publicerad 07 december 2017
Fråga från publiken vid Upphandlingsmyndighetens konferens 2017.
Upphandlingsmyndigheten
Publicerad 07 december 2017
Hur efterlever vi dataskyddsförordningen?
Nedan följer några exempel på åtgärder för att efterleva dataskyddsförordningen.
Vad får dataskyddsförordningen för praktiska konsekvenser för våra upphandlingar? Vad behövs anges? Ska biträdesavtal bifogas?
Vilka konsekvenser dataskyddsförordningen får för en upphandling måste bedömas i varje enskilt fall. Det beror bland annat på vad som ska upphandlas och vilken typ av personuppgifter som kommer att behandlas inom ramen för uppdraget. Det är därför viktigt att kartlägga detta inför en upphandling.
Det kommer också att vara viktigt att den upphandlande organisationens och leverantörens förhållande till varandra är klarlagt. Att få klart för sig om ens organisation är att anse som en självständig personuppgiftsansvarig, ett personuppgiftsbiträde eller gemensamt personuppgiftsansvariga har betydelse för vilka skyldigheter man har. Om detta är otydligt i upphandlingsdokumenten bör man som leverantör be om att få detta tydliggjort under tiden för frågor och svar den aktuella upphandlingen.
För den upphandlande organisationen kommer det vara viktigt att villkor för personuppgiftsbehandling bifogas upphandlingsdokumenten, helst i form av ett utkast till personuppgiftsbiträdesavtal.
Då en personuppgiftsansvarig anlitar ett personuppgiftsbiträde måste ett skriftligt avtal upprättas. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. Dessa regler har nu blivit striktare. Därför behöver alla avtal gås igenom.
Det finns nu även tydligare regler om att personuppgiftsbiträden som anlitar underbiträden också behöver teckna sådana avtal. Personuppgiftsbiträdena behöver även en skriftlig tillåtelse från den personuppgiftsansvarige att ett underbiträde får anlitas. Enligt dataskyddsförordningen är det den personuppgiftsansvarige som måste säkerställa att personuppgiftsbiträdet har tecknat underbiträdesavtal.
Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att följa dataskyddsförordningen. Även personuppgiftsbiträden har självständiga skyldigheter och kan drabbas av sanktioner. Att man som personuppgiftsbiträde uppmanas av den personuppgiftsansvarige att strida mot förordningen utgör inte något skäl för att inte följa förordningens bestämmelser.
Med vänlig hälsning,
Nedan följer några exempel på åtgärder för att efterleva dataskyddsförordningen.
- Utbilda medarbetare i innebörden av dataskyddsförordningen.
- Kartlägg vilka personuppgifter som behandlas inom organisationen.
- Utse ett dataskyddsombud.
- Vidta tekniska och organisatoriska åtgärder i form av att till exempel ta fram en strategi för dataskydd.
- Inför ledningssystem för dataskydd.
- Inför register för behandling av personuppgifter.
- Utför konsekvensbedömningar avseende dataskydd för att identifiera eventuella risker i datahanteringen.
- Utvärdera och revidera arbetet med efterlevnaden av dataskyddsförordningen löpande.
Vad får dataskyddsförordningen för praktiska konsekvenser för våra upphandlingar? Vad behövs anges? Ska biträdesavtal bifogas?
Vilka konsekvenser dataskyddsförordningen får för en upphandling måste bedömas i varje enskilt fall. Det beror bland annat på vad som ska upphandlas och vilken typ av personuppgifter som kommer att behandlas inom ramen för uppdraget. Det är därför viktigt att kartlägga detta inför en upphandling.
Det kommer också att vara viktigt att den upphandlande organisationens och leverantörens förhållande till varandra är klarlagt. Att få klart för sig om ens organisation är att anse som en självständig personuppgiftsansvarig, ett personuppgiftsbiträde eller gemensamt personuppgiftsansvariga har betydelse för vilka skyldigheter man har. Om detta är otydligt i upphandlingsdokumenten bör man som leverantör be om att få detta tydliggjort under tiden för frågor och svar den aktuella upphandlingen.
För den upphandlande organisationen kommer det vara viktigt att villkor för personuppgiftsbehandling bifogas upphandlingsdokumenten, helst i form av ett utkast till personuppgiftsbiträdesavtal.
Då en personuppgiftsansvarig anlitar ett personuppgiftsbiträde måste ett skriftligt avtal upprättas. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. Dessa regler har nu blivit striktare. Därför behöver alla avtal gås igenom.
Det finns nu även tydligare regler om att personuppgiftsbiträden som anlitar underbiträden också behöver teckna sådana avtal. Personuppgiftsbiträdena behöver även en skriftlig tillåtelse från den personuppgiftsansvarige att ett underbiträde får anlitas. Enligt dataskyddsförordningen är det den personuppgiftsansvarige som måste säkerställa att personuppgiftsbiträdet har tecknat underbiträdesavtal.
Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att följa dataskyddsförordningen. Även personuppgiftsbiträden har självständiga skyldigheter och kan drabbas av sanktioner. Att man som personuppgiftsbiträde uppmanas av den personuppgiftsansvarige att strida mot förordningen utgör inte något skäl för att inte följa förordningens bestämmelser.
Med vänlig hälsning,
Upphandlingsmyndigheten
07 december 2017 (Uppdaterat 01 mars 2023)
Fråga oss!
Våra öppettider gäller endast på helgfria dagar.